JP2015126332A - 暗号通信システム、暗号通信方法、プログラム - Google Patents

暗号通信システム、暗号通信方法、プログラム Download PDF

Info

Publication number
JP2015126332A
JP2015126332A JP2013268708A JP2013268708A JP2015126332A JP 2015126332 A JP2015126332 A JP 2015126332A JP 2013268708 A JP2013268708 A JP 2013268708A JP 2013268708 A JP2013268708 A JP 2013268708A JP 2015126332 A JP2015126332 A JP 2015126332A
Authority
JP
Japan
Prior art keywords
key
ciphertext
verification
tag
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013268708A
Other languages
English (en)
Other versions
JP6075785B2 (ja
Inventor
恵太 草川
Keita Kusakawa
恵太 草川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013268708A priority Critical patent/JP6075785B2/ja
Publication of JP2015126332A publication Critical patent/JP2015126332A/ja
Application granted granted Critical
Publication of JP6075785B2 publication Critical patent/JP6075785B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】RKA-KDM-CCA安全な公開鍵暗号方式を実現する暗号通信システムを提供する。【解決手段】パラメータ装置と鍵生成装置と暗号化装置と復号装置を含む暗号通信システムであって、パラメータ装置は条件パラメータと共通パラメータとを出力する。鍵生成装置は、共通パラメータを入力とし、秘密鍵と公開鍵とを出力する。暗号化装置は、共通パラメータと公開鍵とメッセージを入力とし、暗号文を出力する。復号装置は、共通パラメータと改竄秘密鍵と暗号文とを入力とし、リジェクトシンボルまたはメッセージを出力する。【選択図】図5

Description

本発明は、公開鍵暗号方式に関し、特にRKA-KDM-CCA安全性を実現する暗号通信システム、暗号通信方法、プログラムに関する。
本明細書では、鍵依存平文の暗号文の安全性をKDM安全性、関連鍵攻撃に対する安全性をRKA安全性と呼ぶ。なお関連鍵攻撃環境下での鍵依存平文の暗号文の安全性をRKA-KDM安全性と呼ぶ。またKDM安全かつRKA安全だからといって、RKA-KDM安全だとは限らない。
秘密鍵に依存した平文を暗号化する方式には理論的な応用と実際的な応用がある。理論的な応用として、暗号を用いたプロトコルの自動検証が挙げられる。自動検証を通るプロトコルは、KDM安全な暗号方式を用いているのであれば、暗号学的な意味でも安全性が保障される。また実際的な応用として、ディスク暗号化が挙げられる。たとえばディスク暗号化ソフトであるBitLockerでは、秘密鍵自身を暗号化することがあった。この安全性を保障するには、KDM安全性が必要である。KDM安全な暗号方式の既往研究として、非特許文献1がある。復号オラクルが存在する環境下での鍵依存平文の安全性をKDM-CCA安全性と呼ぶ。KDM-CCA安全な公開鍵暗号方式として、Camenisch, Chandran, Shoupの方式(非特許文献2)やHofheinzの方式(非特許文献3)が知られている。また、RKA-KDM-CPA安全な共通鍵暗号方式として、Applebaumの方式(非特許文献4)やBohl, Davies, Hofheinzの方式(非特許文献5)が知られている。
Isamu Teranishi. Survey of key dependent message ( KDM ) security. IEICE Fundamentals Review,6(1):26-36,2012. Jan Camenisch、Nishanth Chandran, and Victor Shoup. A public key encryption scheme secure against key dependent chosen plaintext and adaptive chosen ciphertext attacks. In Antoine Joux, editor, EUROCRYPT 2009, volume 5479 of LNCS, pages 351-368. Springer, Heidelberg, 2009. Dennis Hofheinz. Circular chosen-ciphertext security with compact ciphertexts. In Thomas Johansson and Phong Q. Nguyen, editors, EUROCRYPT 2013, volume 7881 of LNCS, pages 520-536. Springer, Heidelberg,2013. Benny Applebaum. Garbling XOR gates "for free" in the standard model. In Amit Sahai, editor, TCC2013, volume 7785 of LNCS, pages 162-181. Springer, Heidelberg, 2013. See also http://eprint.iacr.org/2012/516. Florian Bohl, Gareth T. Davies, and Dennis Hofheinz. RKA-KDM secure encryption from public-key encryption. Cryptology ePrint Archive, Report 2013/653, 2013. Available at http://eprint.iacr.org/2013/653.
RKA-KDM-CPA安全な共通鍵暗号方式として非特許文献5などが知られている一方、RKA-KDM-CCA安全な公開鍵暗号方式についての研究はこれまでなされておらず、存在するかどうかも不明であった。そこで本発明では、RKA-KDM-CCA安全な公開鍵暗号方式を実現する暗号通信システム、暗号通信方法、プログラムを提供することを目的とする。
本発明の暗号通信システムは、パラメータ装置と、鍵生成装置と、暗号化装置と、復号装置を含む。
パラメータ装置は、条件パラメータ設定部と、RSAモジュラス生成部と、ランダム生成元設定部と、パラメータ生成部とを含む。条件パラメータ設定部は、合成数の長さ、メッセージの数、フィルタ用素数の長さを示す条件パラメータを設定する。RSAモジュラス生成部は、セキュリティパラメータを入力とし、第1、第2のブラム素数とRSAモジュラスの合成数を生成する。ランダム生成元設定部は、合成数の3乗未満であって、合成数の3乗と互いに素な数のみの集合のうち、所定の位数の部分群である乱数用部分群において、第1、第2ランダム生成元を設定する。パラメータ生成部は、セキュリティパラメータを入力とし、フィルタ鍵とトラップドアを生成する。
鍵生成装置は、秘密鍵パラメータ選択部と、公開鍵パラメータ計算部と、公開鍵生成部と、秘密鍵生成部とを含む。秘密鍵パラメータ選択部は、平文空間から、第1、第2、第3、第4秘密鍵パラメータをランダムに選択する。公開鍵パラメータ計算部は、第1、第2ランダム生成元と、第1、第2、第3、第4秘密鍵パラメータに基づいて第1、第2公開鍵パラメータを計算する。公開鍵生成部は、第1、第2公開鍵パラメータから公開鍵を生成する。秘密鍵生成部は、第1、第2、第3、第4秘密鍵パラメータから秘密鍵を生成する。
暗号化装置は、乱数選択部と、署名鍵生成部と、共通鍵選択部と、タグ設定部と、第1中間暗号文計算部と、第2中間暗号文計算部と、チェック用暗号文計算部と、マスク済暗号文計算部と、共通鍵暗号化部と、署名部と、暗号文生成部とを含む。乱数選択部は、合成数の4分の1未満の数の集合から第1、第2乱数をランダムに選択する。署名鍵生成部は、セキュリティパラメータを入力とし、使い捨て署名用の鍵ペアである検証鍵と署名鍵を生成する。共通鍵選択部は、共通鍵暗号用のランダムな鍵である共通鍵をランダムに選択する。タグ設定部は、タグがコアタグと補助タグからなるものとし、検証鍵を補助タグとし、コアタグをタグ空間からランダムに選択する。第1中間暗号文計算部は、第1乱数と第1、第2ランダム生成元に基づいて第1中間暗号文のペアを計算する。第2中間暗号文計算部は、第2乱数と第1、第2ランダム生成元に基づいて第2中間暗号文のペアを計算する。チェック用暗号文計算部は、第1、第2公開鍵パラメータと検証鍵と第1乱数と合成数に基づいてチェック用暗号文を計算する。マスク済暗号文計算部は、第1、第2公開鍵パラメータと検証鍵と第1、第2乱数と合成数と共通鍵とメッセージに基づいてマスク済暗号文を計算する。共通鍵暗号化部は、フィルタ入力用に変換したメッセージの損失的代数フィルタのフィルタ値を共通鍵で暗号化して共通鍵暗号文を生成する。署名部は、署名鍵を用いて、公開鍵と第1、第2中間暗号文のペアとチェック用暗号文とマスク済暗号文と共通鍵暗号文とコアタグの使い捨て署名を生成する。暗号文生成部は、第1、第2中間暗号文のペアとチェック用暗号文とマスク済暗号文と共通鍵暗号文とコアタグと検証鍵と使い捨て署名を含む暗号文を生成する。
復号装置は、改竄公開鍵計算部と、検証部と、検証結果確認部と、チェック用暗号文確認部と、マスク鍵計算部と、マスク復号結果確認部と、変換済平文計算部と、メッセージ確認部と、タグ生成部と、共通鍵復号部と、復号結果確認部と、メッセージ出力部を含む。改竄公開鍵計算部は、第1、第2ランダム生成元と、改竄された可能性があるパラメータである第1、第2、第3、第4改竄秘密鍵パラメータに基づいて第1、第2改竄公開鍵パラメータを計算し、改竄公開鍵を計算する。検証部は、改竄公開鍵と第1、第2中間暗号文のペアとチェック用暗号文とマスク済暗号文と共通鍵暗号文とコアタグとからなるメッセージを検証鍵、使い捨て署名を用いて検証し検証結果を出力する。検証結果確認部は、検証結果を確認して、検証結果が検証成功である場合に検証結果を出力し、検証失敗である場合にリジェクトシンボルを出力し処理を停止する。チェック用暗号文確認部は、チェック用暗号文が、第1中間暗号文のペアと第1、第2、第3、第4改竄秘密鍵パラメータと検証鍵と合成数を用いて計算される真値であることを確認し、真値であればチェック用暗号文を出力し、そうでなければリジェクトシンボルを出力し処理を停止する。マスク鍵計算部は、第1、第2中間暗号文のペアと第1、第2、第3、第4改竄秘密鍵パラメータと検証鍵からマスク鍵を計算する。マスク復号結果確認部は、マスク鍵を用いてマスク済暗号文を復号してマスク復号結果を取得し、合成数の3乗未満であって、合成数の3乗と互いに素な数のみの集合のうち、合成数の2乗を位数とする部分群である平文用部分群にマスク復号結果が属するか否かを確認し、属する場合にはマスク復号結果を出力し、そうでなければリジェクトシンボルを出力し処理を停止する。変換済平文計算部は、マスク復号結果に対数計算を実行して変換済平文を計算し、メッセージを取得する。メッセージ確認部は、メッセージが平文空間に属するか否かを確認し、属する場合にはメッセージを出力し、そうでなければリジェクトシンボルを出力し処理を停止する。タグ生成部は、検証鍵を補助タグとして、補助タグとコアタグからタグを生成する。共通鍵復号部は、共通鍵を用いて共通鍵暗号文を復号し復号結果を出力する。復号結果確認部は、復号結果がフィルタ値と等しいか否かを確認し、等しければメッセージを出力し、そうでなければリジェクトシンボルを出力し処理を停止する。メッセージ出力部は、復号装置の各部の動作時にリジェクトシンボルが出力されなかった場合、メッセージを出力する。
本発明の暗号通信システムによれば、RKA-KDM-CCA安全な公開鍵暗号方式を実現することができる。
従来技術の損失的代数フィルタアルゴリズムを装置の構成要素に分解して示すブロック図。 従来技術のRSAモジュラス生成アルゴリズムを装置の構成要素として示すブロック図。 従来技術の共通鍵暗号アルゴリズムを装置の構成要素に分解して示すブロック図。 従来技術の使い捨て署名アルゴリズムを装置の構成要素に分解して示すブロック図。 本発明の実施例1の暗号通信システムの概略を示す図。 本発明の実施例1の変形例の暗号通信システムの概略を示す図。 本発明の実施例1のパラメータ装置の構成を示すブロック図。 本発明の実施例1のパラメータ装置の動作を示すフローチャート。 本発明の実施例1の鍵生成装置の構成を示すブロック図。 本発明の実施例1の鍵生成装置の動作を示すフローチャート。 本発明の実施例1の暗号化装置の構成を示すブロック図。 本発明の実施例1の暗号化装置の動作を示すフローチャート。 本発明の実施例1の復号装置の構成を示すブロック図。 本発明の実施例1の復号装置の動作を示すフローチャート。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
≪準備≫
実施例1について述べる前に、本節では以降で利用する用語について説明する。以下では、κ∈Nをセキュリティパラメータとする。
<損失的代数フィルタ, Lossy Algebraic Filter, LAF>
(lLAF,n)-LAFとは、フィルタ鍵fpkとタグtによって決まる関数の族である。lLAFはフィルタ用素数pの長さパラメータ、nはメッセージの数を表す。従って、フィルタ用素数pをlLAFビットの素数とし、Zn pはZp要素のn次元ベクトル空間を表すものとし、n個のメッセージX=(X1,…,Xn)∈Zn pを入力とし、損失的代数フィルタのフィルタ値LAFfpk,t(X)を出力とする。タグにはinjectiveなものとlossyなものが存在する。またタグtは、t=(ta,tc)と分けることができ、特にtcをコアタグ、taを補助タグと呼ぶ。
損失的代数フィルタアルゴリズムは、4つのアルゴリズムの組からなる。詳細には、LAF=(FGen,FEval,TagSample,FTag)と表現される。以下、図1を参照して損失的代数フィルタアルゴリズムの各アルゴリズムについて説明する。図1は、従来技術の損失的代数フィルタアルゴリズムを装置の構成要素に分解して示すブロック図である。図1に示すように、損失的代数フィルタアルゴリズムは、パラメータ生成部(FGen)51、関数評価部(FEval)52、タグサンプリング部(TagSample)53、ロッシータグサンプリング部(FTag)54のそれぞれが実行するアルゴリズムの総称を意味する。本明細書では、FGenなどのアルゴリズムの名称は、対応する各構成要件の名称の後ろにカッコ書きで併記する。
<パラメータ生成部(FGen)51>
パパラメータ生成部(FGen)51はセキュリティパラメータ1κを入力とし、(フィルタ鍵,トラップドア)=(fpk,ftd)を出力する。フィルタ鍵fpkは、lLAF(κ)ビットの素数pとタグ空間T={0,1}*×Tcの記述とを含む。Tcは、コアタグ全体の集合である。トラップドアftdを用いるとlossyなタグをサンプルすることが出来る。
<関数評価部(FEval)52>
関数評価部(FEval)52は、フィルタ鍵fpk、タグt∈T、X∈Zn pを入力とし、損失的代数フィルタのフィルタ値LAFfpk,t(X)を出力する。
<タグサンプリング部(TagSample)53>
タグサンプリング部(TagSample)53は、フィルタ鍵fpkを入力とし、コアタグtc∈Tcをサンプルする。このとき、コアタグtcとして圧倒的な確率でinjectiveなタグがサンプルされる。
<ロッシータグサンプリング部(FTag)54>
ロッシータグサンプリング部(FTag)54は、トラップドアftdと補助タグta∈{0,1}*を入力とし、タグt=(ta,tc)がlossyになるようなコアタグtc∈Tcをサンプルする。本アルゴリズムの具体的な構成法は非特許文献3を参照のこと。
<RSAモジュラス生成アルゴリズム>
以下、図2を参照してRSAモジュラス生成アルゴリズムについて説明する。図2は、従来技術のRSAモジュラス生成アルゴリズムを装置の構成要素として示すブロック図である。図2に示すように、RSAモジュラス生成アルゴリズムは、RSAモジュラス生成部(GenN)6が実行するアルゴリズムを意味する。RSAモジュラス生成部(GenN)6は、セキュリティパラメータ1κを入力とし、lNビットの第1、第2のブラム素数P,Qを生成し、合成数N=PQを出力する。lNは、合成数Nの長さパラメータである。
<RSAモジュラスの性質>
RSAモジュラス生成部(GenN)6が出力した合成数Nについて、0以上N3-1以下(N3未満)の範囲で、合成数Nの3乗(N3)と互いに素な数のみの集合である
Figure 2015126332
を考える。この群の位数はφ(N3)=N2・φ(N)である。PおよびQは奇素数なのでφ(N)/4=(P-1)(Q-1)=4は正整数である。N2および、φ(N)/4はφ(N3)を割り切り、それぞれの位数を持つ
Figure 2015126332
の部分群が存在する。Grndは、
Figure 2015126332
の位数φ(N)/4の部分群を表す。Grndを、乱数用部分群ともいう。Gmsgは、
Figure 2015126332
の位数N2の部分群を表す。Gmsgを、平文用部分群ともいう。Gmsgの生成元hを、h = 1 + N mod N3と定義する。このとき、Gmsgの生成元hで生成される巡回群<h>は平文用部分群Gmsgに等しい。この群では離散対数が簡単に解ける。N,h,X=hx∈Gmsgが与えられたとき、
Figure 2015126332
を求める効率の良いアルゴリズムが存在する(参考非特許文献1)。
(参考非特許文献1:Ivan Damgard and Mads Jurik. A generalisation, a simplification and some applications of Paillier's probabilistic public-key system. In Kwangjo Kim, editor, PKC2001, volume 1992 of LNCS, pages 119-136. Springer, Heidelberg, 2001.)
<共通鍵暗号アルゴリズム>
共通鍵暗号アルゴリズムとして、IND-CPA安全かつkey-uniqueな共通鍵暗号を用いる。共通鍵暗号アルゴリズムは2つのアルゴリズム(E,D)からなる。以下、図3を参照して従来技術の共通鍵暗号アルゴリズムの各アルゴリズムについて説明する。図3は、従来技術の共通鍵暗号アルゴリズムを装置の構成要素に分解して示すブロック図である。図3に示すように、共通鍵暗号アルゴリズムは、共通鍵暗号化部(E)71、共通鍵復号部(D)72のそれぞれが実行するアルゴリズムの総称を意味する。共通鍵暗号化部(E)71は共通鍵K∈{0,1}κと平文Mを入力とし、暗号文Cを出力する。共通鍵復号部(D)72は共通鍵K∈{0,1}κと暗号文Cを入力とし、平文Mまたはリジェクトシンボル(⊥)を出力する。共通鍵暗号アルゴリズム(E,D)がkey-uniqueとは、任意の暗号文CについてD(K,C)≠⊥となるのは高々1つの共通鍵Kであることを意味する。
<使い捨て署名アルゴリズム>
従来技術の使い捨て署名アルゴリズムは3つのアルゴリズム(OGen,OSign,OVrfy)からなる。以下、図4を参照して従来技術の使い捨て署名アルゴリズムの各アルゴリズムについて説明する。図4は、従来技術の使い捨て署名アルゴリズムを装置の構成要素に分解して示すブロック図である。図4に示すように、従来技術の使い捨て署名アルゴリズムは、署名鍵生成部(OGen)81、署名部(OSign)82、検証部(OVrfy)83のそれぞれが実行するアルゴリズムの総称を意味する。署名鍵生成部(OGen)81はセキュリティパラメータ1κを入力とし、使い捨て署名用の鍵ペア(検証鍵,署名鍵)=(ovk,osk)を出力する。署名部(OSign)82は署名鍵oskとメッセージMを入力とし、使い捨て署名σを出力する。検証部(OVrfy)83は検証鍵ovkとメッセージMと使い捨て署名σを入力とし、検証結果(0 or 1)を出力する。本明細書では0を検証失敗、1を検証成功を示す値とする。
以下、図5を参照して実施例1の暗号通信システムの概略について説明する。図5は、本実施例の暗号通信システム1000の概略を示す図である。図5に示すように、本実施例の暗号通信システム1000は、パラメータ装置1と、鍵生成装置(Gen)2と、暗号化装置(Enc)3と、復号装置(Dec)4を含む。パラメータ装置1、鍵生成装置(Gen)2、暗号化装置(Enc)3、復号装置(Dec)4はネットワーク9により無線または有線で通信可能に接続されている。各装置の詳細、および動作については後述する。なお、鍵生成装置(Gen)2と、復号装置(Dec)4とは一つの装置で構成されていてもよい。従って、図6に示すような変形例が実施可能である。図6は、本実施例の変形例の暗号通信システム1000’の概略を示す図である。図6に示すように、前述の復号装置4は鍵生成部2、復号部4を含む復号装置4’と変形可能である。この時、鍵生成部2、復号部4は前述の鍵生成装置2、復号装置4と全く同じ動作をする。以下では、暗号通信システム1000の構成に従って各装置の説明を行うが、暗号通信システム1000’としてシステムを構成する場合には、後述する鍵生成装置2、復号装置4をそれぞれ鍵生成部2、復号部4と読み替えればよい。
<パラメータ装置1>
次に、図7、図8を参照して本実施例の暗号通信システム1000を構成するパラメータ装置1について説明する。図7は、本実施例のパラメータ装置1の構成を示すブロック図である。図8は、本実施例のパラメータ装置1の動作を示すフローチャートである。図7に示すように、パラメータ装置1は、条件パラメータ設定部11と、共通パラメータ生成部(Pars)12を含む。共通パラメータ生成部(Pars)12は、RSAモジュラス生成部(GenN)6と、ランダム生成元設定部121と、パラメータ生成部(FGen)51とを含む。
条件パラメータ設定部11は、合成数の長さ、メッセージの数、フィルタ用素数の長さを示す条件パラメータを設定する(S11)。詳細には、条件パラメータ設定部11は、合成数の長さパラメータをlN≧25κ+8と設定し、メッセージ数nをn=6と設定し、フィルタ用素数pの長さパラメータをlLAF=(lN+κ+1)/(n-6)と設定する。RSAモジュラス生成部(GenN)6は、セキュリティパラメータを入力とし、第1、第2のブラム素数とRSAモジュラスの合成数を生成する(S6)。詳細には、RSAモジュラス生成部(GenN)6は、セキュリティパラメータ1κを入力とし、アルゴリズムGenN(1κ)を用いて、第1、第2のブラム素数P、Qと、合成数Nを得る。ランダム生成元設定部121は、合成数の3乗未満であって、合成数の3乗と互いに素な数のみの集合のうち、所定の位数の部分群である乱数用部分群において、第1、第2ランダム生成元を設定する(S121)。詳細には、ランダム生成元設定部121は、第1、第2のランダム生成元g1,g2を乱数用部分群Grndのランダムな生成元として設定する。パラメータ生成部(FGen)51は、セキュリティパラメータを入力とし、フィルタ鍵とトラップドアを生成する(S51)。詳細には、パラメータ生成部(FGen)51は、セキュリティパラメータ1κを入力とし、(フィルタ鍵,トラップドア)=(fpk,ftd)←FGen(1κ)を生成する。共通パラメータ生成部(Pars)12は、共通パラメータpp=(N,g1,g2,fpk)を出力する。記号[p1,pm)は、p1からpm-1までの数の集合(p1,...,pm-1)を表すものとし、以下では、平文空間を
Figure 2015126332
とする。従って平文空間は、
Figure 2015126332
である。任意の
Figure 2015126332
について、M=a+b・p2k+c・p24kとなる一意な
Figure 2015126332
が存在する。この3つ組(a,b,c)を求める関数をαとする。また平文をLAFの入力に変換する関数
Figure 2015126332
を定義する。これは、ζ(M)=(a, b mod p, c0, …, cn-3)∈Zn pとする。なお、c0, … , cn-3は係数cを、
Figure 2015126332
と分解したものである。
<鍵生成装置(Gen)2>
以下、図9、図10を参照して本実施例の暗号通信システム1000を構成する鍵生成装置(Gen)2について説明する。図9は、本実施例の鍵生成装置(Gen)2の構成を示すブロック図である。図10は、本実施例の鍵生成装置(Gen)2の動作を示すフローチャートである。図9に示すように、鍵生成装置(Gen)2は、秘密鍵パラメータ選択部21と、公開鍵パラメータ計算部22と、公開鍵生成部23と、秘密鍵生成部24とを含む。鍵生成装置(Gen)2は、共通パラメータpp=(N,g1,g2,fpk)を入力とする。秘密鍵パラメータ選択部21は、平文空間から、第1、第2、第3、第4秘密鍵パラメータをランダムに選択する(S21)。詳細には、秘密鍵パラメータ選択部21は、s1,s2,s3,s4をそれぞれ第1、第2、第3、第4秘密鍵パラメータとし、j=1,2,3,4について、
Figure 2015126332
をランダムに選ぶ。公開鍵パラメータ計算部22は、第1、第2ランダム生成元と、第1、第2、第3、第4秘密鍵パラメータに基づいて第1、第2公開鍵パラメータを計算する(S22)。詳細には、公開鍵パラメータ計算部22は、第1、第2公開鍵パラメータu,vを、
Figure 2015126332
と計算する。公開鍵生成部23は、第1、第2公開鍵パラメータから公開鍵を生成する(S23)。詳細には、公開鍵生成部23は、公開鍵をpk=(u,v)∈G2 rndとして生成する。秘密鍵生成部24は、第1、第2、第3、第4秘密鍵パラメータから秘密鍵を生成する(S24)。詳細には、秘密鍵生成部24は、秘密鍵を
Figure 2015126332
として出力する。
<暗号化装置(Enc)3>
以下、図11、図12を参照して本実施例の暗号通信システム1000を構成する暗号化装置(Enc)3について説明する。図11は、本実施例の暗号化装置(Enc)3の構成を示すブロック図である。図12は、本実施例の暗号化装置(Enc)3の動作を示すフローチャートである。図11に示すように、暗号化装置(Enc)3は、乱数選択部31と、署名鍵生成部(OGen)81と、共通鍵選択部32と、タグ設定部33と、第1中間暗号文計算部34と、第2中間暗号文計算部35と、チェック用暗号文計算部36と、マスク済暗号文計算部37と、共通鍵暗号化部(E)71と、署名部(OSign)82と、暗号文生成部38とを含む。暗号化装置(Enc)3は、共通パラメータpp、公開鍵pk、メッセージ(平文)Mを入力とする。なお、
Figure 2015126332
である。乱数選択部31は、合成数の4分の1未満の数の集合から第1、第2乱数をランダムに選択する(S31)。詳細には、乱数選択部31は、第1、第2乱数r,ρ(r,ρ∈ZN/4)をランダムに選ぶ。署名鍵生成部(OGen)81は、セキュリティパラメータを入力とし、使い捨て署名用の鍵ペアである検証鍵と署名鍵を生成する(S81)。詳細には、署名鍵生成部(OGen)81は、使い捨て署名用の鍵ペア(検証鍵,署名鍵)を(ovk,osk)←OGenと生成する。共通鍵選択部32は、共通鍵暗号用のランダムな鍵である共通鍵をランダムに選択する(S32)。詳細には、共通鍵空間を{0,1}kと表し、共通鍵選択部32は、共通鍵暗号用のランダムな鍵である共通鍵KをK∈{0,1}kとランダムに選ぶ。タグ設定部33は、タグがコアタグと補助タグからなるものとし、検証鍵を補助タグとし、コアタグをタグ空間からランダムに選択する(S33)。詳細には、タグ設定部33は、補助タグta=ovkとし、コアタグtc←Tcをランダムに選び、タグをt=(ta,tc)として設定する。第1中間暗号文計算部34は、第1乱数と第1、第2ランダム生成元に基づいて第1中間暗号文のペアを計算する(S34)。詳細には、第1中間暗号文計算部34は、第1中間暗号文のペアをG1,G2として、(G1,G2)=(g1 r,g2 r)を計算する。第2中間暗号文計算部35は、第2乱数と第1、第2ランダム生成元に基づいて第2中間暗号文のペアを計算する(S35)。詳細には、第2中間暗号文計算部34は、第2中間暗号文のペアをF1,F2として、(F1,F2)=(g1 ρ,g2 ρ)を計算する。チェック用暗号文計算部36は、第1、第2公開鍵パラメータと検証鍵と第1乱数と合成数に基づいてチェック用暗号文を計算する(S36)。詳細には、チェック用暗号文計算部36は、チェック用暗号文Zを、
Figure 2015126332
と計算する。マスク済暗号文計算部37は、第1、第2公開鍵パラメータと検証鍵と第1、第2乱数と合成数と共通鍵とメッセージに基づいてマスク済暗号文を計算する(S37)。詳細には、マスク済暗号文計算部37は、マスク済暗号文Yを、
Figure 2015126332
と計算する。共通鍵暗号化部71は、フィルタ入力用に変換したメッセージの損失的代数フィルタのフィルタ値を共通鍵で暗号化して共通鍵暗号文を生成する(S71)。詳細には、共通鍵暗号化部71は、共通鍵暗号文CEを、CE=E(K,LAFfpk,t(ζ(M)))と生成する。署名部(OSign)82は、署名鍵を用いて、公開鍵と第1、第2中間暗号文のペアとチェック用暗号文とマスク済暗号文と共通鍵暗号文とコアタグの使い捨て署名を生成する(S82)。詳細には、署名部82は、σ=OSign(osk,(pk,G1,G2,F1,F2,Z,Y,CE,tc))として、使い捨て署名σを生成する。最後に、暗号文生成部38は、第1、第2中間暗号文のペアとチェック用暗号文とマスク済暗号文と共通鍵暗号文とコアタグと検証鍵と使い捨て署名を含む暗号文を生成する(S38)。詳細には、暗号文生成部38は、暗号文Cを、C=(G1,G2,F1,F2,Z,Y,CE,tc,ovk,σ)として生成する。暗号化装置(Enc)3は、暗号文として、Cを出力する。
<復号装置(Dec)4>
以下、図13、図14を参照して本実施例の暗号通信システム1000を構成する復号装置(Dec)4について説明する。図13は、本実施例の復号装置(Dec)4の構成を示すブロック図である。図14は、本実施例の復号装置(Dec)4の動作を示すフローチャートである。図13に示すように、復号装置(Dec)4は、改竄公開鍵計算部40と、検証部(OVrfy)83と、検証結果確認部41と、チェック用暗号文確認部42と、マスク鍵計算部43と、マスク復号結果確認部44と、変換済平文計算部45と、メッセージ確認部46と、タグ生成部47と、共通鍵復号部(D)72と、復号結果確認部48と、メッセージ出力部49を含む。復号装置(Dec)4は、共通パラメータppと、改竄秘密鍵
Figure 2015126332
と、暗号文C=(G1,G2,F1,F2,Z,Y,CE,tc,ovk,σ)を入力とする。ξ1234をそれぞれ、第1、第2、第3、第4改竄秘密鍵パラメータと呼ぶ。改竄秘密鍵とは、攻撃者により改竄された可能性がある秘密鍵のことである。改竄がなされていない場合には、ξj=sjである(j=1,2,3,4)。改竄公開鍵計算部40は、第1、第2ランダム生成元と、改竄された可能性があるパラメータである第1、第2、第3、第4改竄秘密鍵パラメータに基づいて第1、第2改竄公開鍵パラメータを計算し、改竄公開鍵を計算する(S40)。詳細には、改竄公開鍵計算部40は、改竄公開鍵を、
Figure 2015126332
と計算する。検証部(OVrfy)83は、改竄公開鍵と第1、第2中間暗号文のペアとチェック用暗号文とマスク済暗号文と共通鍵暗号文とコアタグとからなるメッセージを検証鍵、使い捨て署名を用いて検証し検証結果を出力する(S83)。詳細には、検証部(OVrfy)83は、検証結果
Figure 2015126332
を生成し、出力する。検証結果確認部41は、検証結果を確認して、検証結果が検証成功である場合に検証結果を出力し、検証失敗である場合にリジェクトシンボル(⊥)を出力し処理を停止する(S41)。詳細には、検証結果確認部41は、
Figure 2015126332
であることを確かめる。検証結果確認部41は、検証結果が1でない場合には、リジェクトシンボル(⊥)を出力し、処理を停止する。チェック用暗号文確認部42は、チェック用暗号文が、第1中間暗号文のペアと第1、第2、第3、第4改竄秘密鍵パラメータと検証鍵と合成数を用いて計算される真値であることを確認し、真値であればチェック用暗号文を出力し、そうでなければリジェクトシンボル(⊥)を出力し処理を停止する(S42)。詳細には、チェック用暗号文確認部42は、チェック用暗号文Zが、
Figure 2015126332
であることを確かめる。チェック用暗号文確認部42は、チェック用暗号文Zが、真値
Figure 2015126332
と等しくならない場合には、リジェクトシンボル(⊥)を出力し処理を停止する。マスク鍵計算部43は、第1、第2中間暗号文のペアと第1、第2、第3、第4改竄秘密鍵パラメータと検証鍵からマスク鍵を計算する(S43)。詳細には、マスク鍵計算部43は、マスク鍵Z'を、
Figure 2015126332
と計算する。マスク復号結果確認部44は、マスク鍵を用いてマスク済暗号文を復号してマスク復号結果を取得し、合成数の3乗未満であって、合成数の3乗と互いに素な数のみの集合のうち、合成数の2乗を位数とする部分群である平文用部分群Gmsgにマスク復号結果が属するか否かを確認し、属する場合にはマスク復号結果を出力し、そうでなければリジェクトシンボル(⊥)を出力し処理を停止する(S44)。詳細には、マスク復号結果確認部44は、マスク復号結果YZ'-1が、
Figure 2015126332
であることを確かめる。マスク復号結果確認部44は、マスク復号結果YZ'-1が平文用部分群Gmsgに属さない場合にはリジェクトシンボル(⊥)を出力し処理を停止する。変換済平文計算部45は、マスク復号結果に対数計算を実行して変換済平文を計算し、メッセージを取得する(S45)。詳細には、変換済平文計算部45は、変換済み平文dを、d=dlogh(YZ'-1)と計算し、d=K+2k・Mとパースする。メッセージ確認部46は、メッセージが平文空間に属するか否かを確認し、属する場合にはメッセージを出力し、そうでなければリジェクトシンボルを出力し処理を停止する(S46)。詳細には、メッセージ確認部46は、
Figure 2015126332
であることを確かめる。メッセージ確認部46は、メッセージMが平文空間に属さない場合には、リジェクトシンボル(⊥)を出力し処理を停止する。タグ生成部47は、検証鍵を補助タグとして、補助タグとコアタグからタグを生成する(S47)。詳細には、タグ生成部47は、タグt=(ovk,tc)とする。共通鍵復号部(D)72は、共通鍵を用いて共通鍵暗号文を復号し復号結果D(K,CE)を出力する(S72)。復号結果確認部48は、復号結果がフィルタ値と等しいか否かを確認し、等しければメッセージを出力し、そうでなければリジェクトシンボルを出力し処理を停止する(S48)。詳細には、復号結果確認部48は、復号結果であるD(K,CE)が、D(K,CE)=LAFfpk,t(ζ(M))であることを確かめる。復号結果確認部48は、D(K,CE)=LAFfpk,t(ζ(M))でない場合には、リジェクトシンボル(⊥)を出力し処理を停止する。メッセージ出力部49は、復号装置(Dec)4の各部の動作時にリジェクトシンボル(⊥)が出力されなかった場合、メッセージを出力する(S49)。
このように、本実施例の暗号通信システム1000、その変形例の暗号通信システム1000’によれば、RKA-KDM-CCA安全な公開鍵暗号方式を実現することができ、関連鍵攻撃に対しても鍵依存平文暗号文を守ることができる。
≪発明の要点≫
本発明は、KDM-CCA安全性を持つHofheinzの方式(非特許文献3)を元にしている。Hofheinz方式と本発明との差分を説明する。
<暗号化>
本発明とHofheinz方式とでは、署名生成手順が異なる。実施例1における署名部(OSign)82における手順(ステップS82)である。Hofheinzの方式では、
σH=OSign(osk,(G1,G2,F1,F2,Z,Y,CE,tc))として使い捨て署名を生成している。本発明ではσ←OSign(osk,(pk,G1,G2,F1,F2,Z,Y,CE,tc))と公開鍵pkを追加した上で、使い捨て署名を生成する。
<復号>
本発明では、Hofheinz方式の復号アルゴリズムに、公開鍵の再生成手順を追加した。実施例1における改竄公開鍵計算部40における手順(ステップS40)である。本発明では、再生成された公開鍵を用いて、使い捨て署名の検証を行う。実施例1における検証部(OVrfy)83における手順(ステップS83)である。Hofheinz方式の場合は、公開鍵の再生成手順(S40)はなく、ステップS83は、OVrfy(ovk,(G1,G2,F1,F2,Z,Y,CE,tc),σ)=1であることを確かめる。そうでなければリジェクト(⊥)を出力し、停止する。
本発明では、公開鍵pkを秘密鍵skの指紋として用い、その指紋ごと使い捨て署名を付けることで、暗号文と暗号化に用いた公開鍵を関連付ける。これにより関連鍵攻撃に耐性を持たせることが出来る。ここで、改竄秘密鍵について、
Figure 2015126332
であることを確かめないのが好適である。確かめた場合、関連鍵攻撃に弱くなる。
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (6)

  1. パラメータ装置と、鍵生成装置と、暗号化装置と、復号装置を含む暗号通信システムであって、
    前記パラメータ装置は、
    合成数の長さ、メッセージの数、フィルタ用素数の長さを示す条件パラメータを設定する条件パラメータ設定部と、
    セキュリティパラメータを入力とし、第1、第2のブラム素数とRSAモジュラスの合成数を生成するRSAモジュラス生成部と、
    前記合成数の3乗未満であって、前記合成数の3乗と互いに素な数のみの集合のうち、所定の位数の部分群である乱数用部分群において、第1、第2ランダム生成元を設定するランダム生成元設定部と、
    前記セキュリティパラメータを入力とし、フィルタ鍵とトラップドアを生成するパラメータ生成部とを含み、
    前記鍵生成装置は、
    平文空間から、第1、第2、第3、第4秘密鍵パラメータをランダムに選択する秘密鍵パラメータ選択部と、
    前記第1、第2ランダム生成元と、前記第1、第2、第3、第4秘密鍵パラメータに基づいて第1、第2公開鍵パラメータを計算する公開鍵パラメータ計算部と、
    前記第1、第2公開鍵パラメータから公開鍵を生成する公開鍵生成部と、
    前記第1、第2、第3、第4秘密鍵パラメータから秘密鍵を生成する秘密鍵生成部とを含み、
    前記暗号化装置は、
    前記合成数の4分の1未満の数の集合から第1、第2乱数をランダムに選択する乱数選択部と、
    前記セキュリティパラメータを入力とし、使い捨て署名用の鍵ペアである検証鍵と署名鍵を生成する署名鍵生成部と、
    共通鍵暗号用のランダムな鍵である共通鍵をランダムに選択する共通鍵選択部と、
    タグがコアタグと補助タグからなるものとし、前記検証鍵を前記補助タグとし、前記コアタグをタグ空間からランダムに選択するタグ設定部と、
    前記第1乱数と前記第1、第2ランダム生成元に基づいて第1中間暗号文のペアを計算する第1中間暗号文計算部と、
    前記第2乱数と前記第1、第2ランダム生成元に基づいて第2中間暗号文のペアを計算する第2中間暗号文計算部と、
    前記第1、第2公開鍵パラメータと前記検証鍵と前記第1乱数と前記合成数に基づいてチェック用暗号文を計算するチェック用暗号文計算部と、
    前記第1、第2公開鍵パラメータと前記検証鍵と前記第1、第2乱数と前記合成数と前記共通鍵とメッセージに基づいてマスク済暗号文を計算するマスク済暗号文計算部と、
    フィルタ入力用に変換した前記メッセージの損失的代数フィルタのフィルタ値を前記共通鍵で暗号化して共通鍵暗号文を生成する共通鍵暗号化部と、
    前記署名鍵を用いて、前記公開鍵と前記第1、第2中間暗号文のペアと前記チェック用暗号文と前記マスク済暗号文と前記共通鍵暗号文と前記コアタグの使い捨て署名を生成する署名部と、
    前記第1、第2中間暗号文のペアと前記チェック用暗号文と前記マスク済暗号文と前記共通鍵暗号文と前記コアタグと前記検証鍵と前記使い捨て署名を含む暗号文を生成する暗号文生成部とを含み、
    前記復号装置は、
    前記第1、第2ランダム生成元と、改竄された可能性があるパラメータである第1、第2、第3、第4改竄秘密鍵パラメータに基づいて第1、第2改竄公開鍵パラメータを計算し、改竄公開鍵を計算する改竄公開鍵計算部と、
    前記改竄公開鍵と前記第1、第2中間暗号文のペアと前記チェック用暗号文と前記マスク済暗号文と前記共通鍵暗号文と前記コアタグとからなるメッセージを前記検証鍵、前記使い捨て署名を用いて検証し検証結果を出力する検証部と、
    前記検証結果を確認して、前記検証結果が検証成功である場合に検証結果を出力し、検証失敗である場合にリジェクトシンボルを出力し処理を停止する検証結果確認部と、
    前記チェック用暗号文が、前記第1中間暗号文のペアと前記第1、第2、第3、第4改竄秘密鍵パラメータと前記検証鍵と前記合成数を用いて計算される真値であることを確認し、前記真値であればチェック用暗号文を出力し、そうでなければ前記リジェクトシンボルを出力し処理を停止するチェック用暗号文確認部と、
    前記第1、第2中間暗号文のペアと前記第1、第2、第3、第4改竄秘密鍵パラメータと前記検証鍵からマスク鍵を計算するマスク鍵計算部と、
    前記マスク鍵を用いて前記マスク済暗号文を復号してマスク復号結果を取得し、前記合成数の3乗未満であって、前記合成数の3乗と互いに素な数のみの集合のうち、前記合成数の2乗を位数とする部分群である平文用部分群に前記マスク復号結果が属するか否かを確認し、属する場合には前記マスク復号結果を出力し、そうでなければ前記リジェクトシンボルを出力し処理を停止するマスク復号結果確認部と、
    前記マスク復号結果に対数計算を実行して変換済平文を計算し、前記メッセージを取得する変換済平文計算部と、
    前記メッセージが前記平文空間に属するか否かを確認し、属する場合には前記メッセージを出力し、そうでなければ前記リジェクトシンボルを出力し処理を停止するメッセージ確認部と、
    前記検証鍵を前記補助タグとして、前記補助タグと前記コアタグから前記タグを生成するタグ生成部と、
    前記共通鍵を用いて前記共通鍵暗号文を復号し復号結果を出力する共通鍵復号部と、
    前記復号結果が前記フィルタ値と等しいか否かを確認し、等しければ前記メッセージを出力し、そうでなければ前記リジェクトシンボルを出力し処理を停止する復号結果確認部と、
    前記復号装置の各部の動作時に前記リジェクトシンボルが出力されなかった場合、前記メッセージを出力するメッセージ出力部を含む。
  2. 請求項1に記載の暗号通信システムであって、
    前記鍵生成装置と、前記復号装置とが単一の装置内に含まれる
    暗号通信システム。
  3. パラメータ装置と、鍵生成装置と、暗号化装置と、復号装置が実行する暗号通信方法であって、
    前記パラメータ装置は、
    合成数の長さ、メッセージの数、フィルタ用素数の長さを示す条件パラメータを設定する条件パラメータ設定ステップと、
    セキュリティパラメータを入力とし、第1、第2のブラム素数とRSAモジュラスの合成数を生成するRSAモジュラス生成ステップと、
    前記合成数の3乗未満であって、前記合成数の3乗と互いに素な数のみの集合のうち、所定の位数の部分群である乱数用部分群において、第1、第2ランダム生成元を設定するランダム生成元設定ステップと、
    前記セキュリティパラメータを入力とし、フィルタ鍵とトラップドアを生成するパラメータ生成ステップとを実行し、
    前記鍵生成装置は、
    平文空間から、第1、第2、第3、第4秘密鍵パラメータをランダムに選択する秘密鍵パラメータ選択ステップと、
    前記第1、第2ランダム生成元と、前記第1、第2、第3、第4秘密鍵パラメータに基づいて第1、第2公開鍵パラメータを計算する公開鍵パラメータ計算ステップと、
    前記第1、第2公開鍵パラメータから公開鍵を生成する公開鍵生成ステップと、
    前記第1、第2、第3、第4秘密鍵パラメータから秘密鍵を生成する秘密鍵生成ステップとを実行し、
    前記暗号化装置は、
    前記合成数の4分の1未満の数の集合から第1、第2乱数をランダムに選択する乱数選択ステップと、
    前記セキュリティパラメータを入力とし、使い捨て署名用の鍵ペアである検証鍵と署名鍵を生成する署名鍵生成ステップと、
    共通鍵暗号用のランダムな鍵である共通鍵をランダムに選択する共通鍵選択ステップと、
    タグがコアタグと補助タグからなるものとし、前記検証鍵を前記補助タグとし、前記コアタグをタグ空間からランダムに選択するタグ設定ステップと、
    前記第1乱数と前記第1、第2ランダム生成元に基づいて第1中間暗号文のペアを計算する第1中間暗号文計算ステップと、
    前記第2乱数と前記第1、第2ランダム生成元に基づいて第2中間暗号文のペアを計算する第2中間暗号文計算ステップと、
    前記第1、第2公開鍵パラメータと前記検証鍵と前記第1乱数と前記合成数に基づいてチェック用暗号文を計算するチェック用暗号文計算ステップと、
    前記第1、第2公開鍵パラメータと前記検証鍵と前記第1、第2乱数と前記合成数と前記共通鍵とメッセージに基づいてマスク済暗号文を計算するマスク済暗号文計算ステップと、
    フィルタ入力用に変換した前記メッセージの損失的代数フィルタのフィルタ値を前記共通鍵で暗号化して共通鍵暗号文を生成する共通鍵暗号化ステップと、
    前記署名鍵を用いて、前記公開鍵と前記第1、第2中間暗号文のペアと前記チェック用暗号文と前記マスク済暗号文と前記共通鍵暗号文と前記コアタグの使い捨て署名を生成する署名ステップと、
    前記第1、第2中間暗号文のペアと前記チェック用暗号文と前記マスク済暗号文と前記共通鍵暗号文と前記コアタグと前記検証鍵と前記使い捨て署名を含む暗号文を生成する暗号文生成ステップとを実行し、
    前記復号装置は、
    前記第1、第2ランダム生成元と、改竄された可能性があるパラメータである第1、第2、第3、第4改竄秘密鍵パラメータに基づいて第1、第2改竄公開鍵パラメータを計算し、改竄公開鍵を計算する改竄公開鍵計算ステップと、
    前記改竄公開鍵と前記第1、第2中間暗号文のペアと前記チェック用暗号文と前記マスク済暗号文と前記共通鍵暗号文と前記コアタグとからなるメッセージを前記検証鍵、前記使い捨て署名を用いて検証し検証結果を出力する検証ステップと、
    前記検証結果を確認して、前記検証結果が検証成功である場合に検証結果を出力し、検証失敗である場合にリジェクトシンボルを出力し処理を停止する検証結果確認ステップと、
    前記チェック用暗号文が、前記第1中間暗号文のペアと前記第1、第2、第3、第4改竄秘密鍵パラメータと前記検証鍵と前記合成数を用いて計算される真値であることを確認し、前記真値であればチェック用暗号文を出力し、そうでなければ前記リジェクトシンボルを出力し処理を停止するチェック用暗号文確認ステップと、
    前記第1、第2中間暗号文のペアと前記第1、第2、第3、第4改竄秘密鍵パラメータと前記検証鍵からマスク鍵を計算するマスク鍵計算ステップと、
    前記マスク鍵を用いて前記マスク済暗号文を復号してマスク復号結果を取得し、前記合成数の3乗未満であって、前記合成数の3乗と互いに素な数のみの集合のうち、前記合成数の2乗を位数とする部分群である平文用部分群に前記マスク復号結果が属するか否かを確認し、属する場合には前記マスク復号結果を出力し、そうでなければ前記リジェクトシンボルを出力し処理を停止するマスク復号結果確認ステップと、
    前記マスク復号結果に対数計算を実行して変換済平文を計算し、前記メッセージを取得する変換済平文計算ステップと、
    前記メッセージが前記平文空間に属するか否かを確認し、属する場合には前記メッセージを出力し、そうでなければ前記リジェクトシンボルを出力し処理を停止するメッセージ確認ステップと、
    前記検証鍵を前記補助タグとして、前記補助タグと前記コアタグから前記タグを生成するタグ生成ステップと、
    前記共通鍵を用いて前記共通鍵暗号文を復号し復号結果を出力する共通鍵復号ステップと、
    前記復号結果が前記フィルタ値と等しいか否かを確認し、等しければ前記メッセージを出力し、そうでなければ前記リジェクトシンボルを出力し処理を停止する復号結果確認ステップと、
    前記復号装置の各ステップ実行時に前記リジェクトシンボルが出力されなかった場合、前記メッセージを出力するメッセージ出力ステップとを実行する。
  4. 請求項3に記載の暗号通信方法であって、
    前記鍵生成装置と、前記復号装置とが単一の装置内に含まれ、前記鍵生成装置と、前記復号装置とが実行するステップの全てを前記単一の装置が実行する
    暗号通信方法。
  5. コンピュータを、請求項1または2に記載の暗号通信システムに含まれる暗号化装置として機能させるためのプログラム。
  6. コンピュータを、請求項1または2に記載の暗号通信システムに含まれる復号装置として機能させるためのプログラム。
JP2013268708A 2013-12-26 2013-12-26 暗号通信システム、暗号通信方法、プログラム Active JP6075785B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013268708A JP6075785B2 (ja) 2013-12-26 2013-12-26 暗号通信システム、暗号通信方法、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013268708A JP6075785B2 (ja) 2013-12-26 2013-12-26 暗号通信システム、暗号通信方法、プログラム

Publications (2)

Publication Number Publication Date
JP2015126332A true JP2015126332A (ja) 2015-07-06
JP6075785B2 JP6075785B2 (ja) 2017-02-08

Family

ID=53536772

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013268708A Active JP6075785B2 (ja) 2013-12-26 2013-12-26 暗号通信システム、暗号通信方法、プログラム

Country Status (1)

Country Link
JP (1) JP6075785B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112564887A (zh) * 2020-11-30 2021-03-26 北京百度网讯科技有限公司 密钥保护处理方法、装置、设备和存储介质
CN112613841A (zh) * 2020-12-25 2021-04-06 江苏华能智慧能源供应链科技有限公司 一种基于门限密码技术的电子文件审批方法及系统
CN112784284A (zh) * 2019-11-01 2021-05-11 富士通株式会社 加密处理系统、加密处理方法以及记录介质

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
JPN6015043592; Bellare, M., Paterson, G. and Thomson, S.: 'RKA Security beyond the Linear Barrier: IBE, Encryption and Signatures' Cryptology ePrint Archive Report 2012/514, 201209, [online] *
JPN6015043594; Wee, H.: 'Public Key Encryption against Related Key Attacks' Lecture Notes in Computer Science Vol,7293, 201205, p.262-279 *
JPN6015043597; Applebaum, B., Harnik, D. and Ishai, Y.: 'Semantic Security Under Related-Key Attacks and Applications' Cryptology ePrint Archive Report 2010/544, 201010, [online] *
JPN6015043598; Bellare, M. and Cash, D.: 'Pseudorandom Functions and Permutations Provably Secure against Related-Key Attacks' Lecture Notes in Computer Science Vol.6223, 201008, p.666-684 *
JPN6016050307; Hofheinz, D.: 'Circular chosen-ciphertext security with compact ciphertexts' Cryptology ePrint Archive Report 2012/150, 20130119, [online] *
JPN6016050308; Bohl, H., Davies G. T. and Hofheinz, D.: 'RKA-KDM secure encryption from public-key encryption' Cryptology ePrint Archive Report 2013/653, 20131203, [online] *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112784284A (zh) * 2019-11-01 2021-05-11 富士通株式会社 加密处理系统、加密处理方法以及记录介质
CN112784284B (zh) * 2019-11-01 2023-07-18 富士通株式会社 加密处理系统、加密处理方法以及记录介质
CN112564887A (zh) * 2020-11-30 2021-03-26 北京百度网讯科技有限公司 密钥保护处理方法、装置、设备和存储介质
CN112613841A (zh) * 2020-12-25 2021-04-06 江苏华能智慧能源供应链科技有限公司 一种基于门限密码技术的电子文件审批方法及系统
CN112613841B (zh) * 2020-12-25 2024-05-31 江苏华能智慧能源供应链科技有限公司 一种基于门限密码技术的电子文件审批方法及系统

Also Published As

Publication number Publication date
JP6075785B2 (ja) 2017-02-08

Similar Documents

Publication Publication Date Title
US11895231B2 (en) Adaptive attack resistant distributed symmetric encryption
JP5422053B2 (ja) 暗号システム、暗号通信方法、暗号化装置、鍵生成装置、復号装置、コンテンツサーバ装置、プログラム、記憶媒体
JP4981072B2 (ja) 復号可能かつ検索可能な暗号化のための方法およびシステム
CN102055760B (zh) 消息发送/接收方法和系统
US20150043735A1 (en) Re-encrypted data verification program, re-encryption apparatus and re-encryption system
US11438152B2 (en) Distributed symmetric encryption
JP2011147047A (ja) プロキシ再暗号化システム、送信装置、再暗号化鍵生成装置、プロキシ装置、受信装置、プロキシ再暗号化方法、それらのプログラムおよび記録媒体
JP4737334B2 (ja) 暗号装置、復号装置、暗号プログラム、復号プログラム、及び記録媒体
JP6075785B2 (ja) 暗号通信システム、暗号通信方法、プログラム
JPWO2015008607A1 (ja) 復号装置、復号能力提供装置、それらの方法、およびプログラム
WO2014112523A1 (ja) 復号サービス提供装置、処理装置、安全性評価装置、プログラム、および記録媒体
KR101533422B1 (ko) 브로드캐스트 암호화 방법 및 시스템
WO2021222272A1 (en) Adaptive attack resistant distributed symmetric encryption
JP5730804B2 (ja) 暗号化装置、再暗号化鍵難読化装置、再暗号化装置、復号装置、および再暗号化システム
JP5863683B2 (ja) コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム
JP5815754B2 (ja) 署名検証システム、署名装置、検証装置、署名検証方法
JP5572580B2 (ja) 紛失通信システム、紛失通信方法、およびプログラム
JP2011109510A (ja) 原本性保証装置、原本性保証プログラム、及びこのプログラムを記録する記録媒体
JP2015213233A (ja) 鍵生成装置、再暗号化装置、およびプログラム
JP6087849B2 (ja) 代理署名装置、署名検証装置、鍵生成装置、代理署名システム、およびプログラム
JP5755600B2 (ja) コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法
JP5912281B2 (ja) 復号結果検証装置、方法、システム及びプログラム
JP5943880B2 (ja) コミットメントシステム、共通参照情報生成装置、コミット生成装置、コミット受信装置、コミットメント方法、およびプログラム
JP6000207B2 (ja) 暗号化システム、システムパラメータ生成装置、暗号化装置、復号装置、及びその方法、プログラム
JP2013017017A (ja) 紛失通信システム、紛失通信方法、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160201

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170105

R150 Certificate of patent or registration of utility model

Ref document number: 6075785

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150